草根博客站长明月登楼的CSDN博客

如果你正在使用搭建网站，或者正准备入手一台独立云，那么恭喜你，你已经迈出了成为“云上高手”的第一步！但别急着高兴，因为接下来我要告诉你一个非常重要的事情：如果你还没用 Fail2ban，你的服务器可能正在“裸奔”。没错，就像你不穿衣服光着身子出门一样危险！

就是宝塔面板支持的 DSN 接口有点儿寒酸，如上图所示，只支持阿里云 DNS、DnsPod（就是腾讯云的 DNS）和 CloudFlare，好在我们大部分人的都能用，也算好似满足了大部分站长们的需求了。然后就可以在宝塔面板里申请 SSL 证书的时候选择 DnsPod 接口后，点击配置输入创建的 ID 和 Token，点击确定保存，在下面选择要申请 SSL 证书的主域名（就是不带 www 等前缀的）并勾选“自动组合泛域名”，点击最下面的“申请证书”，等待自动申请结束就获取到域名的泛解析 SSL 证书了。

最近明月发现很多人都在抱怨国内各大厂云的免费这个话题，有些人还说这是大厂割韭菜的行为。虽然明月一直都认为国内大厂云一直都在玩儿各种割韭菜的花招，但说到这个的话还真是有点儿冤枉大厂云们了。在诞生之初其实并没有限制有效期，但后来随着 SSL 证书使用得越来越多，2005 年 5 月 17 日由 VeriSign 和 Comodo 牵头成立国际标准组织，出台了一系列 SSL 证书标准，开始缩短。在这个论坛上，，CA 机构（数字证书认证机构，负责发放和管理数字证书的权威机构）则，两方来回拉扯。截图来自谷歌。

可能是明月好久没有使用境外服务器挂载境外的云盘缘故吧，今天一个代维客户需要他的Linux服务器挂载谷歌云盘好进行云备份，本来是个很简单的事儿，没想到在rclone连接谷歌云盘的时候卡壳了，可是把明月给难为坏了，搜索到的简体中文教程倒是很多，但没有一个提到这个“坑”，最后还是在英文搜索里找到了原因。到了这一步大家就要注意了，这里是个非常“坑”的地方，注意上图红框圈住的这段代码其实是个需要你在PC电脑终端里运行的DOS命令，这需要你下载rclone的Windows客户端到电脑上才能运行的。

在HTTP中，基本认证（Basic access authentication）是一种用来允许网页浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。模块实现让访问着，只有输入正确的用户密码才允许访问web内容。web上的一些内容不想被其他人知道，但是又想让部分人看到。Nginx的http auth模块以及Apachehttp auth都是很好的解决方案。默认情况下Nginx已经安装了模块，如果不需要这个模块，可以加上。

明月要强调的是封禁 IP/IP 地址段不是最优解，误伤率非常的高，严重的甚至会影响到访客的浏览体验，就目前国内 CDN 现状开启强制验证码或者设置速率限制效果要好很多，影响也最小，当然有条件的通过 UA 判断过滤屏蔽也是个不错的选择（很多免费 CDN 是不支持的）。唉，国内现在做网站真的很糟心，个人备案不允许有盈利行为，再加上这极为恶劣的大环境，个人站长们的出路是越来越窄了。，频繁发起请求并下载，从而制造大量的下载流量，以平衡上传流量，使得上下行流量看起来相对平衡，避免被运营商识别为 PCDN。

客户几乎没考虑直接就下单拿下了，明月第一时间远程 SSH 登录进行部署体验，搭建一个 LNMP 环境（Debian Linux 12+Nginx 1.27.0+PHP 8.3+MariaDB 10.4）下来（全是源码编译安装）耗时 72 分钟就完成了，再借助 rsync 直接镜像复制客户 N 个网站到新服务器来，虽然慢了一点，但好在是安全的丝滑迁移，对于前端来说没有丝毫影响，镜像复制完成后直接修改 CloudFlare 里 DNS 回源 IP 为新服务器 IP 就可以了。明月代维的一个客户的大厂云。

SSL 是 SecuritySocketLayer 的缩写，技术上称为安全套接字，可以简称为加密通讯协议，使用 SSL 可以对通讯内容进行高强度的加密，以防止黑客监听您的通讯内容甚至是用户密码。

今天分享给大家的这个过滤规则比较具有综合性，能防范暴力破解又能屏蔽拦截恶意骚扰请求，明月尤其喜欢的就是对 xmlrpc.php 的访问自动过滤允许来自安卓 WordPress 客户端的请求，另外对于那些使用随机伪装 UA 的请求拦截效果也非常的好。】等文了解，总之 Fail2ban 是 Linux 下不可或缺的安全防御工具，特别是针对 Nginx 的站点日志文件进行实时分析防御效果非常的出众，当你发现自己的站点被暴力破解、恶意爬虫骚扰、采集等等的时候明月非常建议你试试 Fail2ban。

CN2 是指电信的第二代网络（第一代网络 CN1,又叫 163 线路），目前算是质量很好的网络带宽线路。海外服务器接入 CN2 线路后，在国内访问不管是速度还是稳定性各方面都会很好。CN2 线路服务器针对国内的线路来说，解决了不同 ISP 之间的数据交换问题，电信、联通、移动等网络互访问题，因而更加快速、稳定。从这方面上来讲，CN2 线路带宽的服务器能增加客户业务的灵活性和可拓展性的要求1、CN2 是电信家的产品，对电信用户会非常友好，联通，移动的用户就不会特别友好。

其实明月还是倾向于 Let's Encrypt 的免费 SSL 证书的，毕竟这么多年了都非常的稳定，如果你的站点 HTTPS 已经加入了预缓存就不建议随便更换 SSL 证书，继续维持原来的 SSL 证书即可。ZeroSSL 只是给我们了另一个选择而已，并且还获得了 acme.sh 脚本的完美支持！

对于中小型站点来说 MySQL 这类数据库确实非常先进，但说实话都是“大材小用”、“杀鸡焉用牛刀”了，甚至可以毫不夸张的说大部分中小型站点需求仅仅用到了 MySQL 这类数据库 10%的功能而已，还得为了适配 MySQL 在硬件上做出取舍（比如：内存低于 2G 是无法使用 MySQL 高版本的）徒增成本而已，与其这样为啥不简单的选择 SQLite 这类轻量的数据库来使用呢？

好了，至此就可以畅快的使用域名+HTTPS 的方式畅快的使用 HFish 蜜罐平台了，考虑到 HFish 蜜罐平台对数据库的请求量比较大（取决于监控节点威胁攻击频率高低），明月是非常不建议将 HFish 蜜罐平台跟监控节点部署在同一个平台的，除非你的服务器有很高的内存配置和带宽，否则会造成服务器宕机、负载飙升、卡顿的哦！

这个更加的简单高效，明月采用的 IPSET 主要是为了方便后期运维需要的，毕竟明月是专业干这个的嘛！

​目前，明月所有代运维的服务器都已经采用 Zstd 压缩算法网站备份了，毕竟效果那是真的没的说，看来明月很有必要给军哥 LNMP 一键安装包也建议一下对 Zstd 的支持了，毕竟独乐乐不如众乐乐呀！先分享给有需要的站长朋友再说了！​

理论上，使用 Nginx 1.25.0-1.26.0 主线版的只要没有弃用 HTTP/3 QUIC 的是不受这四个漏洞影响的，但明月还是建议尽快更新至 1.27.0 主线版为宜，另外就算用的是 Nginx 1.25.0-1.26.0 主线版并启用了 HTTP/3 QUIC 的话，有 CloudFlare 的加固支持也是勿用担心的，不会受到漏洞影响带来安全威胁，无论如何明月已经第一时间升级更新 Nginx 到 1.27.0 主线版了。

好了，最后明月再强调一下，就算你看不懂 Nginx 日志，明月也建议你开启和保留日志记录，这样就算真的碰到什么安全问题了，专业人士也能很快的给你排查出问题所在和制定合理科学的解决方案，否则就算是个高手也会因为“巧妇难为无米之炊”而束手无策呀！

有关 Nginx 使用 444 状态码的好处，只能自己细品理解了，至于效果好不好的，自行使用后体验吧，反正明月是非常推荐在 Nginx 里多使用这个 444 状态码的，简单好用还高效，应对恶意请求拦截绝对是绝配。

综上所述，一个云服务器的选择绝不是一件一拍脑袋、脚一跺就完成的事儿，还是要根据自己的商业规划一步一步的来的，云服务器的硬件配置其实并不是最重要的，后期的运维才是要重点考虑的范畴，这是明月很多代维用户实践总结出来的经验之谈。

​速度优化是个讲究相互配合的事儿，一个插件、一个扩展、一个 CDN 就能加速那是神话故事，绝对伪科学！在【详细说说网站优化这个事儿】一文里明月就专门的讲到了这点儿，想学速度优化推荐多看看。很多时候无论你的硬件配置多高，如果优化没有做好依然是会存在瓶颈的，高配低速的站点明月真的是见得太多了，相应的优化后需要降低硬件配置的也是常见，呵呵！​

Memcached 本身并不支持分布式，因此只能在客户端通过像一致性哈希这样的分布式算法来实现 Memcached 的分布式存储。相较于 Memcached 只能采用客户端实现分布式存储，Redis 更偏向于在服务器端构建分布式存储。

一般明月使用这些规则都是新建一个.conf 文件，在 Nginx 站点配置文件里单独 include 这个文件，重启 Nginx 生效，主要是为了根据不同站点需求进行细微的修改而已，理论上来说在宝塔面板里也可以这么用的，大家活学活用即可。

我们都知道有一些密码是单向的，加密之后拿到密文理论上无法还原，比如 MD5，SHA-1 等等。但是这难不倒黑客，既然不能逆向，不如索性把所有的字符串都加密一遍存起来，拿到密文直接去里面找就好。这个文件有个好听的名字，叫彩虹表（rainbow table）。

理论上然是误操作禁止了 40517 端口，只需要再开启 40517 端口就是了，问题就出在 FireWalld 的变态 rich（富规则）规则了，Firewalld 富规则是一种用于 Firewalld 防火墙的高级规则。这次明月就碰到了一个因为误操作在宝塔防火墙里禁止了 40517 端口（面板默认端口）造成宝塔面板无法访问的问题，当时客户差点儿都要卸载重装宝塔了，考虑到客户网站众多，恢复工作量太大，明月刘仔细研究了一下给解决了，今天就给大家分享一下！，否则神仙来了也没救，只能是卸载宝塔重装了。

本文算是一篇仓促完成的随手笔记，不尽之处还请见谅，又来了一个被 DDoS 攻击的业务订单，所以没有时间仔细审稿校对。本文提到的域名均为示例域名，仅做说明故障用，跟多详情可以扫码加微信好友咨询了解。

​速度优化是个讲究相互配合的事儿，一个插件、一个扩展、一个 CDN 就能加速那是神话故事，绝对伪科学！在【详细说说网站优化这个事儿】一文里明月就专门的讲到了这点儿，想学速度优化推荐多看看。很多时候无论你的硬件配置多高，如果优化没有做好依然是会存在瓶颈的，高配低速的站点明月真的是见得太多了，相应的优化后需要降低硬件配置的也是常见，呵呵！​

根据上述代码的注释，可以很好的理解并根据自己的需要来修改配置，其实 PHP8 特有的就是最后的两个 JIT 是独有的，PHP7 里是没有这两个配置参数的，在 PHP7 里如果你的 PHP 代码量很大、并发量也很大的时候，OPCache 的内存占用要不了多长时间就会被占满，但是在 PHP8 下开启了 JIT 后，OPCache 的内存占用即使在高并发、上万 PHP 代码文件情况下，内存占用依旧是稳如泰山，PHP 代码的执行效率还更快。不多说了，明月要去升级到 PHP 8.2.3 了，谁让明月用的。

说的这里大家已经明白这个清理内存对 Linux 的危害了吧？有人会说让 CPU 一直闲着不运算也不科学呀？放心，CPU 不会闲着的，CPU 不忙不是意味着可以给 Nginx 提供更多的并发处理能力吗？一个 Linux 服务器都是多任务运行的，PHP 和 MySQL 任务用的少了，其他任务就可以用的多了，效率大大的提升了。

上述两点非常重要，可以说是给技术人员留下的最后补救措施了，否则神仙来了也没救，只能是卸载宝塔重装了。当然，也可以通过云服务上的 VNC 登录来操作，但那个操作起来相对麻烦一些了，主要是纯命令行操作不是每个人都能熟练完成的。

大家要明白的是宝塔面板最大的优点就是让新手可以方便的部署和使用 Linux 服务器来运行我们的站点，但要想更加的安全宝塔面板能力有限，这并不是宝塔的错，只能说是黑客技术的问题，所以说并不是用了宝塔面板让网站上线就可以高枕无忧了，就现在的网络安全趋势，我们还是要更多的加强安全防御意识的。

其实 MySQL 数据库的优化无非就是缓存数据库查询记录到 Linux 物理内存里，减少 MySQL 实时查询的频率，对于我们很多个人博客站点来说，512MB 物理内存基本就可以缓存 99%以上的 MySQL 实时查询记录了，更多的时候往往都是用不完，除非你用的插件、主题里有频繁的数据库读写操作才会造成 MySQL 负载飙升的现象，所以慎用来历不明和不负责任的插件和主题也是优化数据库性能要考虑的。

说白了一个 Linux 系统的网站服务器最佳状态就是内存高占用、负载持续平稳维持在一个很低的状态，并且不用担心 Linux 的内存会爆满，因为 Linux 拥有比 Windows 先进多的内存管理机制，这是 Linux 跟 Windows 系统最大的差异之处，这也是为什么服务器的优化往往都是把各种缓存尽最大可能放到内存里的主要原因。

明月建议大家有条件就升级到 PHP8 吧，用起来那是真的爽，尤其是低配置的云服务器更加适合，更能发挥服务器硬件的性能，降本增效。如果多站点服务器上有不兼容 PHP8 的站点，也可以使用 LNMP 的多 PHP 版本共存来区别对待，因为 WordPress 站点使用 PHP8 是潮流也是需要！

对于使用了国内 CDN 的站点来说，这个 Nginx 里开启 HTTP/3 QUIC 后可能是没有效果的，因为还需要 CDN 层面的支持，国内支持 HTTP/3 QUIC 的好像只有七牛、又拍云，国外 CloudFlare 免费支持 HTTP/3 QUIC 开启的，并且只要 CDN 支持 HTTP/3 QUIC，源站开没开启 HTTP/3 QUIC 都是可以的，所以本文更多的是处于技术学习的范畴了，毕竟现在网站没有 CDN 的保护是不敢想象的，裸奔的服务器和网站在现在的国内互联网生态里太少见了。

明月感觉 OpenLiteSpeed 可能在某些简单的应用场景表现优秀，比如：1-2 个网站、配置上没有特殊需求的用起来还是很不错的，但并不适用明月，还好明月专门抽出时间在阿里云服务器上测试这一周，要不还真的是发现不了这些“顽疾”。这里建议大家还是要遵循“实践才是检验真理的唯一标准”这句至理名言，不要盲目跟从。

可以说现在支持 HTTP/3 QUIC 的网站越来越多了，因为我们自身的原因看不到而已，也让不少站长们开始相信某些别有用心的谣传了，但国内浏览器支持 HTTP/3 QUIC 的确实很少，目前明月知道的也就 360 极速浏览器（PC 端），手机端的好像也不支持 HTTP/3 QUIC。随着启用 HTTP/3 QUIC 的网站越来越多，国内浏览器应该会有所改善的。